电力二次系统安全防护的一种解决方案

    安全防护，即安防，所谓安全，就是没有危险、不受侵害、不出事故；所谓防护，就是防备、戒备，而防备是指作好准备以应付攻击或避免受害，戒备是指防备和保护。 综合上述解释，是否可以给安全防护下如下定义：做好准备和保护，以应付攻击或者避免受害，从而使被保护对象处于没有危险、不受侵害、不出现事故的安全状态。显而易见，安全是目的，防护是手段，通过防范的手段达到或实现安全的目的，就是安全防护的基本内涵。　

    电力二次系统作为电网公司的重要生产系统，长期受到极大的关注，电监会按照安全分区、网络专用、横向隔离、纵向的思路，将电力网络划分为一区、二区、三区和四区，其中一区为生产实时控制大区，二区为生产非实时控制大区，三区则为生产管理区，四区主要为管理信息系统和企业ERP系统等。

一、方案背景

　　根据《电网和电厂计算机监控系统及调度数据网络安全防护的规定》（以下简称《规定》），对电力系统安全建设具有重要的指导意义。为防范对电网和电厂计算机监控系统及调度数据网络的攻击侵害及由此引起的电力系统事故，保障电力系统的安全稳定运行，建立和完善电网和电厂计算机监控系统及调度数据网络的安全防护体系，依据全国人大常委会《关于维护网络安全和信息安全的决议》和《中华人民共和国计算机信息系统安全保护条例》及国家关于计算机信息与网络系统安全防护的有关规定，制定了该规定。2006年电监会印发了《电力二次系统安全防护总体方案》，提出了省级以上调度中心、地县级调度中心、发电厂、变电站等的二次系统安全防护方案。

二、安全需求

　　本文根据电力二次系统的防护要求，总体按照横向隔离，纵向的主体，提出了省级以上调度中心、地县级调度中心、发电厂、变电站、配电等的二次系统安全防护方案，综合采用防火墙、入侵检测、病毒防护、审计、安全管理等多种手段，对二次系统的安全运行提供稳定可靠的运行环境。具体需求如下：

　　防病毒、木马等恶意代码的侵害；

　　保护电力监控系统和电力调度数据网络的可用性和连续性；

　　保护重要信息在存储和传输过程中的机密性、完整性；

　　实现应用系统和设备接入电力二次系统的身份，防止非法接入和非授权访问；

　　实现电力监控系统和调度数据网安全事件可发现、可跟踪和可审计；

三、设计思路

　　首先，对于电力调度数据网，按照国家电监会《电力二次系统安全防护规定》（为防范对电网和电厂计算机监控系统及调度数据网络的攻击侵害及由此引起的电力系统事故，保障电力系统的安全稳定运行，建立和完善电网和电厂计算机监控系统及调度数据网络的安全防护体系，依据全国人大常委会《关于维护网络安全和信息安全的决议》和《中华人民共和国计算机信息系统安全保护条例》及国家关于计算机信息与网络系统安全防护的有关规定，制定本规定。）的要求，电力调度数据网实现"安全分区、网络专用、横向隔离、纵向".

四、方案设计

　　本方案依据《电力二次系统安全防护规定》和《电力二次系统安全防护总体方案》等系列方案，并结合天融信在电力行业的多年积累，从电力调度数据网和电力企业数据网两个方面讲解了电力二次系统安全防护的重点，系统安全防护示意图如下：